Ex-hacker de la NSA revela vulnerabilidad de día cero en macOS High Sierra
Tu computadora Mac que ejecuta el más reciente sistema operativo, High Sierra, puede ser hackeado al modificar solo dos líneas de código, según demostró un investigador en el congreso de seguridad DefCon el domingo.
Patrick Wardle, un ex-hacker de la NSA y ahora director de investigación en Digita Security, descubrió una vulnerabilidad crítica de día cero en el sistema operativo macOS que puede permitir a una aplicación maliciosa instalada en el sistema objetivo hacer clic en objetos sin ninguna interacción o consentimiento del usuario.
Para saber qué tan peligroso puede llegar a ser, Wardle explica: “A través de un solo clic, se puede evadir un sinfín de mecanismos de seguridad. ¿Ejecutar aplicación no confiable? Clic…permitido. ¿Autorizar acceso a llavero? Clic… Permitido. Cargar extensión de kernel de un tercero? Clic… permitido. ¿Autorizar conexión de red de salida? Clic…permitido.”
Wardle describió su investigación sobre las interacciones “sintéticas” con una interfaz de usuario (IU) como “El ratón es más poderoso que la espada”, mostrando un ataque que es capaz de dar “clics sintéticos”, clics de ratón programables e invisibles que son generados por un programa en lugar de un humano.
El código de macOS por sí mismo ofrece clics sintéticos como una característica de accesibilidad para que personas con discapacidad puedan interactuar con la interfaz del sistema en formas no tradicionales, pero Apple ha puesto algunas limitaciones para evitar que el malware abuse de estos clics programados.
Wardle descubrió accidentalmente que High Sierra interpreta incorrectamente dos eventos sintéticos de mouse “inactivo” consecutivos como un clic legítimo, permitiendo a los atacantes interactuar programáticamente con las advertencias de seguridad, así como preguntar a los usuarios entre “permitir” o “rechazar” y accesar a datos sensibles o características.
“La interfaz de usuario es el único punto de falla”, dice Wardle. “Si tienes una manera de interactuar sintéticamente con estas alertas, tienes una forma muy poderosa y genérica de pasar por alto todos estos mecanismos de seguridad.”
Aunque Wardle aún no ha publicado los detalles técnicos de la falla, afirma que la vulnerabilidad puede ser potencialmente explotada para obtener todas las contraseñas del llavero o cargar extensiones de kernel maliciosas al hacer clic virtualmente en “permitir” en el aviso de seguridad y ganar control total de una máquina objetivo.
Wardle afirma que encontró esta laguna accidentalmente al copiar y pegar el código y que solo dos líneas de código son suficientes para romper completamente este sistema de seguridad.
A diferencia de hallazgos anteriores, Wardle no reportó a Apple su última investigación y decidió hacer públicos los detalles de la falla de día cero en el congreso de hackers DefCon.
“Por supuesto que los proveedores de sistemas operativos como Apple están conscientes de este vector de ataque, y por eso se esfuerzan en diseñar su interfaz de usuario de tal manera que sea resistente contra eventos sintéticos. Desafortunadamente, fallaron”, dice Wardle.
Sin embargo, la próxima versión de macOS, Mojave, ya ha mitigado la amenaza al bloquear todos los eventos sintéticos, lo que eventualmente reduce el alcance de las características de accesibilidad en las aplicaciones que usan de forma legítima esta característica.
Artículos relacionados:
- Exploit permite a hackers robar contraseñas almacenadas en el Keychain de Apple MacOS High Sierra
- Malware indetectable se dirige a Windows, MacOS y Linux
- Apple confirma la fuga de código fuente de iOS, pero lo cataloga como viejo y obsoleto.